ドッカードッカーの学習と仮想マシン

最初ドッカーを聞いて、それが仮想マシンとして促進することであるが、それは、本質的に仮想マシンではありません

仮想マシン

VM（仮想マシン）完全なハードウェアシステムの機能を意味し、完全に隔離された環境でのソフトウェアシミュレーションを通じて、完全なコンピュータシステムを実行します。

新しい仮想ミラー、既存のオペレーティングシステムを作成することにより、仮想システム、それはまったく同じ機能を実際のWindowsシステムでは、仮想システムに、すべての操作は、保存、行動をインストールすることができます。この新しい独立した仮想システム、スタンドアロンのソフトウェアでありましたデータは、実システムへの影響はありませんが、自分自身の独立したデスクトップを持っているだけでなく、オペレーティングシステムの種類柔軟性は、既存のシステムと仮想画像を切り替えること。仮想システムと従来の仮想マシン（ Parallels Desktopを  、 VMwareの 、 VirtualBoxは 、 仮想PC 点を除いては）：システムは、それは時間がかかるようにWindowsシステムを起動しない仮想システムを起動し、仮想PCのパフォーマンスが低下することはありません、実行するプログラムより速く、より便利に、仮想システムは、仮想マシンがオペレーティングシステムの他の種類をシミュレートすることができ、同じ従来のオペレーティングシステム環境をシミュレートすることができ、および仮想マシン命令は、基盤となるハードウェアをシミュレートする必要があり、仮想システムは、アプリケーションの速度よりはるかに遅いです。

人気の仮想マシンソフトウェア VMware社 （ VMWareのACE ）、 仮想ボックス （無料）および Virtual PCは 、彼らはWindowsシステム上で複数の仮想コンピュータですることができます。

複数の仮想マシンを実行しているアプリケーションを使用する場合、以下に示すように、単離されます。

下から、図の理解のトップへ：

インフラ（インフラストラクチャ）。それはあなたのPC、サーバ、データセンター、またはクラウドのホストである可能性があります。

メインオペレーティングシステム（ホストオペレーティングシステム）。お使いのPCで、それはMacOSの、WindowsまたはLinuxディストリビューションを実行することができます。

仮想マシン管理システム（ハイパーバイザ）。ハイパーバイザを使用すると、メインのオペレーティングシステム上の異なる複数のオペレーティングシステムを実行することができます。タイプ1のハイパーバイザは、Linux KVMのためのMacOS、Windowsの、Hyper-Vのサポート、およびサポートを支援HyperKitています。ハイパーバイザとタイプ2は、VirtualBoxはVMWareのです。

オペレーティングシステム（ゲストOS）から。あなたは3台の仮想マシンであるオペレーティングシステム、ハイパーバイザから3を起動する必要があり、3孤立したアプリケーションを実行する必要があるとします。これらの仮想マシンは、おそらく彼らはディスク容量の2.1ギガバイトを取ることを意味し、700メガバイトがあり、非常に大きいです。さらに悪いことに、彼らはまた、CPUとメモリを大量に消費します。

様々な依存関係。オペレーティングシステムのそれぞれには、多くの依存関係をインストールする必要があります。アプリケーションは、接続のPostgreSQLを必要とする場合は、libpqの-devをインストールする必要があります。あなたはルビーを使用している場合、その後、あなたは宝石をインストールする必要がありますする必要があり、あなたは、このようなPythonやNode.jsのようなその他のプログラミング言語を、使用している場合、対応する依存ライブラリをインストールする必要があります。

アプリケーション。各アプリケーションが互いに分離されるように依存インストール後、それは、オペレーティングシステムとは別に各実行に適用することができます。

二、Docker容器

以下に示すように、単離されたドッカーコンテナを使用して複数のアプリケーションを実行する場合：

 

メインオペレーティングシステム（ホストオペレーティングシステム）。すべての主要なLinuxディストリビューションは、ドッカーを実行することができます。MacOSの、およびWindowsの場合は、ドッカーを「実行」するには、いくつかの方法があります。

ドッカーデーモン（ドッカデーモン）。ドッカーデーモンは、オペレーティングシステムの上にバックグラウンド・プロセスを実行しているハイパーバイザーは、ドッカーコンテナを管理する責任が置き換えられます。

様々な依存関係。ドッカーのために、すべての依存するアプリケーションは、ドッカーミラーにパッケージ化され、ドッカードッカーコンテナは、イメージの作成に基づいています。

应用。应用的源代码与它的依赖都打包在Docker镜像中，不同的应用需要不同的Docker镜像。不同的应用运行在不同的Docker容器中，它们是相互隔离的。

三、对比虚拟机与Docker

Docker守护进程可以直接与主操作系统进行通信，为各个Docker容器分配资源；它还可以将容器与主操作系统隔离，并将各个容器互相隔离。虚拟机启动需要数分钟，而Docker容器可以在数毫秒内启动。由于没有臃肿的从操作系统，Docker可以节省大量的磁盘空间以及其他系统资源。

因为两者有不同的使用场景，当然也不排除以后它会替代虚拟机。

虚拟机更擅长于彻底隔离整个运行环境。例如，云服务提供商通常采用虚拟机技术隔离不同的用户。

Docker通常用于隔离不同的应用，例如前端，后端以及数据库。

 

容器使用由Linux内核提供的命名空间，大多数人把命名空间认为是一个上下文或域的授权决定（进程X有权访问资源Y）。

如果容器内的进程扫描文件系统来寻找要窃取的东西，它只能找到容器内明确可见的文件。

如果容器内的进程中想尝试做一些恶意的事情，比如打开端口31337后门服务，它不会有多大好处，因为这个端口实际上不会暴露在容器外的任何地方。容器内部的恶意进程不能访问的任何容器外的其他进程的内存。

有几个方法可以摆脱容器的束缚，但这些通常需要容器的root访问权限。

不要以root运行应用程序，通过简单的几个步骤稳固root访问权限。

容器使用cgroup来提供与虚拟机相同级别的资源使用保护机制。容器和虚拟机都可以获取整个网络链接。

容器运行的是不完整的操作系统（尽管它们可以），虚拟机必须运行完整的。

容器比虚拟机使用更少的闲置资源，它们不运行完整的操作系统。

容器在在云硬件（或虚拟机）中可以被复用，就像虚拟机在裸机上可以被复用。

容器需要毫秒分配，虚拟机需要几分钟。所以，你可以另配、重新平衡、释放以及使用容器比虚拟机的迭代更加迅速。

如果每个容器运行的只有一个服务或者数据库，这是比较容易管理的。而且比较容易监控性能，了解故障的影响，并预测成本。

离目标进程越远，隔离会变得更昂贵。虚拟机是伟大的，它通过抽象来增加并行，服务于多操作系统的使用情况以及业界最好的安全性。但对于隔离，它们相当的昂贵，容器提供的隔离就便宜。

服务器虚拟化vs Docker

 

服务器好比运输码头：拥有场地和各种设备（服务器硬件资源）

服务器虚拟化好比作码头上的仓库：拥有独立的空间堆放各种货物或集装箱

(仓库之间完全独立，独立的应用系统和操作系统）

Docker比作集装箱：各种货物的打包

Docker有着小巧、迁移部署快速、运行高效等特点，但隔离性比服务器虚拟化差：不同的集装箱属于不同的运单（Docker上运行不同的应用实例），相互独立（隔离）。但由同一个库管人员管理（主机操作系统内核），因此通过库管人员可以看到所有集装箱的相关信息